Firefoxi arendajad on välja andnud reklaami kaudu režiimi kaasamine Vaikimisi DNS üle HTTPS (DoH) Ameerika Ühendriikide kasutajatele. Alates tänasest on DoH see on vaikimisi lubatud kõikides USA kasutajate uutes installides. arvestades, et praeguste USA kasutajate jaoks plaanitakse DoH-le üle minna mõne nädala pärast. Euroopa Liidus ja teistes riikides ei kavatse nad endiselt vaikimisi DoH-d aktiveerida.
Kasutajatel on võimalus valida kahe pakkuja vahel: Cloudflare ja NextDNS, mis on usaldusväärsed lahendajad. Pärast DoH-i aktiveerimist saavad nad hoiatuse, mis võimaldab kasutajal loobuda juurdepääsust tsentraliseeritud DoH-DNS-serveritele ja pöörduda tagasi tavapärase skeemi juurde, et saata krüptimata taotlused teenuse pakkuja DNS-serverisse.
DNS-i lahendajate hajutatud infrastruktuuri asemel DoH kasutab linki konkreetsele DoH-teenusele, mida võib pidada üheks ebaõnnestumispunktiks. Seda tööd pakutakse praegu kahe DNS-i pakkuja kaudu: CloudFlare (vaikimisi) ja NextDNS.
DNS-i andmete krüptimine DoH-ga on vaid esimene samm. Mozilla jaoks nende andmetega tegelevatelt ettevõtetelt nõutavate reeglite kehtestamine, nagu on kirjeldatud TRR-programmis, tagab, et neile andmetele juurdepääsu ei kuritarvitata. Seetõttu on see kohustuslik.
"Enamiku kasutajate jaoks on väga raske teada, kuhu nende DNS-taotlused lähevad ja mida resolver nendega teeb," ütles Eric Rescorla, Firefoxi CTO. "Programm Firefox Trusted Recursive Resolver võimaldab Mozillal pidada oma nimel müüjatega läbirääkimisi ja nõuda, et neil oleks enne teie DNS-i andmete töötlemist ranged privaatsuseeskirjad." Meil on hea meel, et NextDNS teeb meiega koostööd, kui töötame selle nimel, et inimesed saaksid veebis taas kontrolli oma andmete ja privaatsuse üle. "
Kirjastaja on veendunud, et õiget tehnoloogiat kombineerides (DoH sel juhul) ja ranged toimimisnõuded nende jaoks, kes seda rakendavad, leiavad head partnerid ja sõlmivad vaikimisi juriidilised kokkulepped, mis eelistavad privaatsust see parandab kasutaja privaatsust.
Oluline on meeles pidada, et DoH võib olla kasulik infolekete kõrvaldamiseks teenusepakkujate DNS-serverite kaudu taotletud hostinimedel, võidelda MITM-i rünnakute vastu ja asendada DNS-liiklus (näiteks avaliku WiFi-ga ühenduse loomisel) ja DNS-i (DoH) blokeerimise vastu ei saa VPN-i asendada DPI-tasemel rakendatud plokkide vältimise valdkonnas) ega tööd korraldada, kui DNS-ile pole võimalik otse juurde pääseda serverid (näiteks puhverserveri kaudu töötades).
Kui tavaolukordades saadetakse DNS-päringud otse süsteemi konfiguratsioonis määratletud DNS-serveritesse, siis DoH korral kapseldatakse hosti IP-aadressi määramise taotlus HTTPS-i liiklusse ja saadetakse serverisse HTTP, milles resolver töötleb taotlusi veebi API kaudu. Olemasolev DNSSEC-standard kasutab krüpteerimist ainult kliendi ja serveri autentimiseks.
DoH kasutamine võib tekitada probleeme näiteks vanemliku järelevalve süsteemides, juurdepääs ettevõtte süsteemide sisemistele nimeruumidele, tee valik sisu edastamise optimeerimise süsteemides ebaseadusliku sisu leviku ja alaealiste ekspluateerimise vastu võitlemise kohtumääruste täitmine.
Selliste probleemide lahendamiseks on rakendatud ja testitud kontrollsüsteem, mis teatud tingimustel DoH automaatselt keelab.
DoH-i muutmine või desaktiveerimine võib olla võrguühenduse konfiguratsioonis. Näiteks saate Google'i serveritele juurdepääsemiseks määrata alternatiivse DoH-serveri, umbes: config.
Väärtus 0 keelab täielikult, samal ajal kui 1 kasutatakse kiirema sisselülitamiseks, 2 kasutab vaikeväärtusi ja varundus-DNS-iga kasutab 3 ainult DoH-d ja 4 on peeglirežiimi, milles DoH ja DNS-i kasutatakse paralleelselt .